© Ekaphon maneechot/Shutterstock.com
Wie Militärtechnik die Cybersicherheit im Unternehmen erhöht

Von der Kommandozentrale in die IT


Unterirdische Serveranlagen, verschlüsselte Mobilfunkgespräche und Nutzer­authentifizierung über Crypto Sticks – was nach einem Spionageroman klingt, gehört in den IT-Abteilungen einiger Unternehmen zum Alltag. Allerdings ist der Risikozustand mangelhaft geschützter IT-Infrastrukturen noch eher Regel als Ausnahme.

Laut einer aktuellen Bitkom-Studie [1] ist gut die Hälfte aller deutschen Unternehmen in den vergangenen zwei Jahren Opfer von Cyberattacken geworden. Dazu zählen digitale Wirtschaftsspionage, Sabotage von Produktionsanlagen oder Datendiebstahl. Die Kosten solcher Sicherheitsvorfälle sind keine Bagatelle, sondern können äußerst schmerzhaft sein: Je nach Unternehmensgröße zahlen die Geschädigten durchschnittlich rund eine halbe Million Dollar, wie eine Untersuchung im Auftrag von Kaspersky Lab [2] ergeben hat. Neben den direkten Kosten durch Wiederherstellungsmaßnahmen oder Produktionsausfälle stellt dabei vor allem der Verlust von geistigem Eigentum ein erhebliches Problem dar. Das trifft nicht nur Großkonzerne, sondern auch Klein- und mittelständische Unternehmen, die als Innovationsführer häufig ein attraktives Ziel für Spionageangriffe darstellen.

Angesichts dieser Gefährdungslage setzen Unternehmen beim Schutz ihrer IT zunehmend auf Hard- oder Softwarelösungen, die nach den Standards von Militär und Geheimdiensten geprüft sind. Produkte, die Zertifizierungen wie NATO Restricted oder VS-NfD, tragen, sind nach den speziellen Sicherheitsanforderungen von Regierungen, Geheimdiensten oder dem Militär konzipiert und bieten dadurch einen besonders hohen Schutz vor Lauschangriffen oder Cyberattacken. Zentrale Elemente solcher Hochsicherheitslösungen sind die physische Trennung unterschiedlicher Netzwerkbereiche und die konsequente Verschlüsselung aller ein- und ausgehenden Daten.

Wer seine Sicherheitsmaßnahmen auf militärische Standards ausweiten möchte, sollte jedoch unterschiedliche Aspekte berücksichtigen. Der Einsatz von entsprechend zertifizierten Geräten ist dabei nur ein Element. Für die Entwicklung einer wirksamen IT-Sicherheitsstrategie mit TOP-Secret-Niveau sind vier Bereiche bzw. Schritte erfolgskritisch:

  • Analyse

  • Strategieentwicklung

  • Implementierung

  • Training und Schulung

Analyse – Schutzbedarf ermitteln

Im ersten Schritt sollten Unternehmen ihre Datenbestände systematisch analysieren, um ihren individuellen Schutzbedarf bestimmen zu können. Dabei sind zwei Aspekte wichtig: Zunächst sind die gesetzlichen Anforderungen zu prüfen, die ein Unternehmen im Hinblick auf den Datenschutz und die Sicherheit seiner IT-Systeme einzuhalten hat. Nach der IT-Grundschutzspezifikation des BSI [3] sind drei Schutzbedarfsklassen definiert, die angeben, wie kritisch bzw. schutzbedürftig die im Unternehmen vorhandenen Daten sind. Organisationen, die personenbezogene Daten in Verbindung mit anderen kritischen Informationen verarbeiten – wie etwa Angaben zum Gesundheitszustand oder Rechtsangelegenheiten – fallen demnach automatisch in die höchste Schutzbedarfsklasse 3. Diese Klassifizierung hat wiederum direkten Einfluss auf die Schutzmaßnahmen, die im Unternehmen implementiert werden sollten, um die Einhaltung der gesetzlichen Vorgaben sicherzustellen.

Unabhängig von der rechtlichen Bewertung ist zudem eine Eigenanalyse zu Sicherheitsrisiken bzw. Schwachstellen empfehlenswert. Diese beschreibt, welche Unternehmensbereiche in welcher Form schützenswert sind. Dabei geht es einerseits um die Frage, welchen materiellen oder immateriellen Wert Daten, wie etwa Forschungsergebnisse, Konstruktionspläne oder Kundendaten, für das Unternehmen besitzen. Andererseits sollten Organisationen die Folgen von Cyberangriffen auch im Hinblick auf Ausfallzeiten, Wiederherstellungskosten und Folgemaßnahmen abschätzen. All das sind Faktoren, die in die eigene Risikobewertung einfließen müssen, um den Schutzbedarf eines Unternehmens präzise zu erfassen und den Rahmen für notwendige Investitionen festlegen zu können.

Strategieentwicklung – Notfallszenarien planen

Der ermittelte Schutzbedarf in den einzelnen Bereichen bildet die Basis für eine konkrete Sicherheitsstrategie für das Gesamtunternehmen. Hierbei sollte man sich allerdings nicht nur auf den technologischen Aufbau der Sicherheitsinfrastruktur konzentrieren. Genauso wichtig ist es, den Fall eines Cyberangriffs als Szenario oder Simulation dur...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang